En utilisant AWS re:Post, vous acceptez les AWS re:Post Conditions d’utilisation

Comment puis-je résoudre les problèmes liés à l'utilisation d'EC2 Connect pour me connecter à mon instance EC2 ?

Lecture de 6 minute(s)
0

Je souhaite résoudre les problèmes liés à l'utilisation d'Amazon Elastic Compute Cloud (Amazon EC2) Instance Connect pour me connecter à mon instance Linux EC2.

Brève description

Les erreurs rencontrées lorsque vous utilisez EC2 Instance Connect pour vous connecter à votre instance sont généralement liées aux problèmes suivants :

  • EC2 Instance Connect ne prend pas en charge la distribution du système d'exploitation (OS).
  • Le package EC2 Instance Connect n’est pas installé sur l’instance.
  • Certaines autorisations ou politiques de gestion des identités et des accès AWS (AWS IAM) sont manquantes ou incorrectes.
  • Les groupes de sécurité associés à l'instance ne répertorient pas les adresses IP du service EC2 Instance Connect.
  • La configuration ou l'accès au réseau sont incorrects.

Pour déterminer la cause de l'échec de connexion, vous pouvez utiliser le dossier d’exploitation d'automatisation AWSSupport-TroubleshootEC2InstanceConnect AWS Systems Manager. Pour plus d'informations sur les flux de travail d'automatisation, consultez la section AWS Support Automation Workflows (SAW) et Configuration de l’automatisation.

Vous pouvez également dépanner manuellement votre instance EC2.

Résolution

Prérequis : Si votre instance n’utilise pas d’adresse IP publique, vous devez établir une connectivité réseau privé avec votre cloud privé virtuel (VPC). Pour établir une connectivité réseau privé avec votre VPC, utilisez AWS Direct Connect, AWS Site-to-Site VPN ou l'appairage de VPC. Si votre instance n’utilise pas d'adresse IPv4 publique et que votre VPC ne dispose pas d’une configuration de connectivité réseau privée, utilisez un point de terminaison EC2 Instance Connect.

Remarque : Si vous avez activé l’EC2 Serial Console pour les instances Linux, utilisez-la pour résoudre les problèmes liés aux types d'instances basés sur Nitro. Si vous ne parvenez pas à accéder à votre instance et que vous n'avez pas configuré un accès à la console série, consultez la page Configuration de l'accès à l’EC2 Serial Console.

Utilisez le dossier d’exploitation pour dépanner votre instance EC2

Avant de démarrer le dossier d’exploitation AWSSupport-TroubleshootEC2InstanceConnect, assurez-vous que votre utilisateur ou votre rôle IAM dispose des autorisations requises. Pour plus d'informations, consultez la section Autorisations IAM requises de AWSSupport-TroubleshootEC2InstanceConnect.

Pour utiliser le dossier d’exploitation, procédez comme suit :

  1. Ouvrez la console Systems Manager.
  2. Dans le volet de navigation, Sélectionnez Ressources partagées, puis Documents.
  3. Sélectionnez Documents d'automatisation.
  4. Dans le champ de recherche, saisissez AWSSupport-TroubleshootEC2InstanceConnect, puis sélectionnez le document.
  5. Sélectionnez Exécuter l'automatisation.
  6. Saisissez les valeurs suivantes pour les paramètres d'entrée :
    Pour InstanceId, saisissez l'ID de l'instance à laquelle vous ne pouvez pas vous connecter.
    (Facultatif) Pour AutomationAssumeRole, saisissez l'ARN du rôle IAM qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si vous ne choisissez pas de rôle, AWS Systems Manager Automation utilise les autorisations de l’utilisateur qui exécute le dossier d’exploitation.
    Pour Nom d'utilisateur, saisissez le nom d'utilisateur que vous utilisez pour vous connecter à l'instance. Ce paramètre détermine si l'accès IAM est accordé à l'utilisateur.
    Pour EC2InstanceConnectRoleOrUser, saisissez l'ARN de l'identité IAM utilisée pour qu'EC2 Instance Connect envoie des clés à l'instance.
    (Facultatif) Pour SSHport, saisissez le port SSH configuré sur l'instance. La valeur par défaut est 22 et le numéro de port doit être compris entre 1-65535 et 65535.
    (Facultatif) Pour SourceNetworkType, saisissez le type de réseau que vous utilisez pour vous connecter à l'instance.
    (Facultatif) Pour SourceIpCIDR, saisissez le routage inter-domaines sans classe (CIDR) qui inclut l'adresse IP du périphérique que vous utilisez pour vous connecter à EC2 Instance Connect. Si ce champ est vide, le dossier d’exploitation ne peut pas déterminer si le groupe de sécurité et les règles de liste de contrôle d'accès réseau (ACL) de l'instance autorisent le trafic SSH.
  7. Sélectionnez Exécuter.
  8. Consultez les résultats détaillés dans la section Sorties.

Résoudre les problèmes de votre instance EC2 manuellement

Pour résoudre les problèmes de connexion à votre instance EC2, vérifiez que les configurations suivantes sont correctes :

Utiliser des connexions SSH basées sur un navigateur

Les connexions SSH basées sur un navigateur nécessitent que les règles entrantes du groupe de sécurité de votre instance autorisent EC2 Instance Connect à accéder au SSH sur le port TCP 22.

EC2 Instance Connect utilise des plages d'adresses IP spécifiques pour les connexions SSH basées sur un navigateur à votre instance. Les plages d'adresses IP AWS diffèrent d'une région AWS à l'autre. Pour trouver la plage d'adresses IP pour EC2 Instance Connect dans une région spécifique, utilisez les commandes présentées ci-dessous.

Remarque : Dans les commandes suivantes, vous devez remplacer us-east-1 par la région dans laquelle se trouve votre instance. Vérifiez que votre instance appartient à une région prise en charge par EC2 Instance Connect.

Windows

Utilisez Windows PowerShell pour exécuter la commande suivante :

PS C:\> Get-AWSPublicIpAddressRange -Region us-east-1 -ServiceKey EC2_INSTANCE_CONNECT | select IpPrefix

Linux

Utilisez curl et jq pour exécuter la commande suivante :

$ curl -s https://ip-ranges.amazonaws.com/ip-ranges.json | jq -r '.prefixes[] | select(.region=="us-east-1") | select(.service=="EC2_INSTANCE_CONNECT") | .ip_prefix'

Mettez à jour les règles entrantes de votre groupe de sécurité pour autoriser l’accès au port TCP 22 à partir de la plage d’adresses IP renvoyée par les commandes précédentes.

Utiliser une connexion CLI EC2 Instance Connect

Mettez à jour les règles entrantes de votre groupe de sécurité pour autoriser l’accès au port TCP 22 à partir de votre adresse IP.

Informations connexes

Exécuter une opération automatisée grâce à Systems Manager Automation

Connexion à votre instance Linux via EC2 Instance Connect

Comment me connecter à mon instance Amazon EC2 si je perds ma paire de clés SSH après le lancement initial de l'instance ?

Comment puis-je résoudre les problèmes de connexion à mon instance Linux Amazon EC2 via SSH ?

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a un mois